O que é o malware IcedID?
O IcedID (também conhecido como BokBot) é uma variedade relativamente nova de malware descoberta pela primeira vez em 2017 e classificada como trojan bancário e trojan de acesso remoto (RAT). Considera-se que ele tenha recursos comparáveis a outros cavalos de Troia bancários sofisticados, como Zeus, Gozi e Dridex. O IcedID é um malware de segundo estágio que depende de outro malware de primeiro estágio, como o Emotet, para obter acesso inicial e implantá-lo. Além de roubar as informações financeiras das vítimas, o IcedID geralmente serve como um dropper para outros malwares de segundo estágio, incluindo ransomware, e tem recursos avançados para se mover lateralmente em uma rede.
O IcedID é usado principalmente pelos agentes da ameaça Shatak (também conhecido como TA551) em seu empreendimento criminoso de malware como serviço (MaaS). As infecções por IcedID são frequentemente instaladas pelo famoso malware de primeiro estágio Emotet ou por um dos maiores botnets de malspam do mundo, o botnet de malspam Cutwail. Embora não esteja listada nas dez principais linhagens de malware da CISA para 2021, a IcedID é considerada uma ameaça avançada, frequentemente atualizada com técnicas evasivas novas e avançadas.
Últimas notícias da IcedID
- Do abuso do Google Ads a uma enorme campanha de spear phishing que se faz passar pela Agência Tributária da Espanha (BlackBerry Blogs)
- O malware IcedID se adapta e expande a ameaça com o módulo BackConnect atualizado (BleepingComputer)
- Novas variantes do malware IcedID mudam de cavalos de Troia bancários para ransomware (SC Media)
- Campanhas de contrabando de HTML se fazem passar por marcas conhecidas para distribuir malware (CSO Online)
Os agentes da ameaça Shatak geralmente usam e-mails de phishing para espalhar o IcedID por meio de anexos de documentos do Microsoft Office carregados de macros, arquivos .iso ou arquivos .zip criptografados. Após a infecção, a carga útil inicial do IcedID enumera o sistema host de destino para determinar o caminho de infecção mais eficaz. A carga útil inicial procura um ponto de injeção furtivo para se instalar com persistência e, em seguida, aguarda a reinicialização do sistema antes de iniciar seu módulo principal. Ao aguardar a reinicialização do sistema, o IcedID garante um grau mais alto de furtividade, aparecendo como um processo legítimo toda vez que o sistema é reinicializado.
O IcedID usa uma combinação de técnicas de segundo estágio, incluindo:
- Usa uma abordagem "living off the land" (LOTL) para coletar informações sobre o sistema de destino usando ferramentas nativas do Windows
- Aproveita o utilitário Windows Management Instrumentation (WMI) para detectar antivírus e outros softwares de segurança instalados no sistema de destino e ajusta sua estratégia para aumentar a probabilidade de sucesso
- Abusa do recurso WMI no Windows para interagir com sistemas locais ou remotos para descoberta e movimentação lateral por meio dos compartilhamentos de arquivos de domínio do Active Directory (AD)
- Usa vários métodos de injeção para sequestrar aplicativos legítimos e evitar a detecção
- Estabelece a persistência por meio de vários métodos, incluindo tarefas agendadas e Ru
- Conecta várias funções da Interface de Programação de Aplicativos (API) para se injetar nas Bibliotecas de Vínculo Dinâmico (DLL) existentes no sistema
- Importa outras cepas de malware, incluindo ransomware e ferramentas de hacking, como o Cobalt Strike
- Importa arquivos DLL empacotados e altamente ofuscados que podem ser executados no lugar de arquivos DLL nativos do Windows em uma técnica conhecida como "sequestro de DLL".
- Armazena seus arquivos de configuração e cargas úteis como blobs criptografados e usa outros tipos de arquivos, como PNG ou ICO, para ocultar cargas úteis
- Injeta comandos no processo do Windows Installer (msiexec.exe) para mascarar sua execução de comandos como um aplicativo MSI típico
Os recursos de roubo do IcedID usam um ataque de injeção na Web altamente eficaz do tipo "man-in-the-browser" para infectar os principais aplicativos de navegador, permitindo que um invasor veja a atividade on-line da vítima, roube informações de login diretamente ou redirecione as solicitações de carregamento de página das vítimas para sites mal-intencionados que se disfarçam como aplicativos da Web financeiros e bancários on-line legítimos e populares. Isso efetivamente engana as vítimas do IcedID para que forneçam credenciais de login de banco on-line, usadas posteriormente para realizar transações fraudulentas.
Sinais de um ataque de IcedID
Como evitar um ataque de IcedID
O IcedID é uma cepa de malware que evolui rapidamente e seus desenvolvedores estão constantemente buscando novas técnicas de ataque para melhorar os recursos de furtividade e evasão do IcedID. Um programa holístico de segurança cibernética em nível empresarial oferece as melhores garantias contra essa ameaça. Uma organização pode reduzir as chances de se tornar uma vítima do IcedID tomando as devidas precauções.
Aqui estão as maneiras mais eficazes de se defender contra um ataque de IcedID:
- Instalar e configurar produtos de segurança de endpoint que farão a varredura de documentos criptografados imediatamente após serem descriptografados
- Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos
- Realizar varreduras regulares de vulnerabilidades e testes de penetração em toda a infraestrutura de rede e corrigir as vulnerabilidades descobertas o mais rápido possível
- Imponha a autenticação multifator para todos os serviços essenciais, especialmente contas bancárias on-line e de criptomoedas
- Reconhecer o risco maior que os arquivos criptografados apresentam e verificar o contexto de tais documentos cuidadosamente antes de abri-los
- Certifique-se de que os aplicativos do Office estejam configurados com Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente assinadas digitalmente
- Assegure-se de que somente softwares autorizados e assinados digitalmente sejam instalados em todos os endpoints e faça uma varredura regular para detectar e bloquear a execução de qualquer software não autorizado
- Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso do usuário a sites suspeitos ou de risco
- Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
Blackberry Cylance®, que oferece uma vantagem preditiva sobre ameaças de dia zero, também é eficaz contra malware como o IcedID. treina agentes de inteligência artificial (IA) para detecção de ameaças usando milhões de arquivos seguros e inseguros. Blackberry Cylance
Blackberry Cylance impede a execução do IcedID e de suas variantes com base na detecção de vários atributos de arquivos mal-intencionados, e não em uma assinatura de arquivo específica. Essa abordagem permite que nossos clientes implementem uma postura de segurança que prioriza a prevenção, eficaz contra ameaças desconhecidas, emergentes e polimórficas, bem como contra ameaças tradicionais.